Απενεργοποίηση ping requests από dnhost

Προβληματισμοί και ανταλλαγή ιδεών από την Επικαιρότητα και διάφορα άλλα θέματα.

Συντονιστές: WebDev Moderators, Super-Moderators

Απάντηση
kogos
Δημοσιεύσεις: 14
Εγγραφή: 02 Φεβ 2002 01:00

Απενεργοποίηση ping requests από dnhost

Δημοσίευση από kogos » 23 Δεκ 2014 13:39

Η dnhost είχε δεχθεί πριν από λίγους μήνες επίθεση DDoS και από τότε έχει απενεργοποιήσει τα ping requests στους περισσότερους server της. Με επικοινωνία που είχα σήμερα, μου είπαν πως έχουν εντολή να εφαρμόσουν την απαγόρευση των ping σε όλους τους server τους σύντομα...

Και ρωτώ: κάνοντας ping το site μου δεν λαμβάνω απάντηση... Θα χάσω κάτι με την κίνηση αυτή; Αν θέλω να μετρώ latency πως μπορώ να το κάνω πλέον. Γενικά, να σηκωθώ να φύγω ή δεν είναι κάτι σημαντικό;;;;

Ευχαριστώ

Άβαταρ μέλους
giannis17
Honorary Member
Δημοσιεύσεις: 1215
Εγγραφή: 06 Ιαν 2005 19:50
Τοποθεσία: Παγκράτι - Αθήνα
Επικοινωνία:

Απενεργοποίηση ping requests από dnhost

Δημοσίευση από giannis17 » 23 Δεκ 2014 14:49

Δεν είναι σημαντικό, βέβαια δεν μπορώ να καταλάβω γιατί να κόψουν το ping, λες και τα attacks γίνονται μόνο με ICMP.

Υπάρχουν έτοιμες λύσεις για DDOS protection από Cisco, που βέβαια είναι πανάκριβες και ούτε το datacenter ούτε ο μεταπωλητής προτίθενται να εγκαταστήσουν, αλλά και "ερασιτεχνικές" λύσεις με routerboard και routeros ή ακόμα και με ένα καλό linux server που να λειτουργεί ως traffic analyser σε συνδυασμό με ένα firewall (συνήθως αυτό που χρησιμοποιούν ήδη).

Tο να κόβεις χρήσιμες πόρτες και πρωτόκολλα από όλο το δίκτυο δεν είναι λύση.

Μπορείς να κάνεις TCP ping με αυτό το εργαλείο: http://technet.microsoft.com/en-us/sysi ... 29731.aspx

Είναι ακριβώς η ίδια λειτουργία μόνο που την κάνει σε καθορισμένη πόρτα (συνήθως την 80 για web server) και μέσω TCP αντί ICMP.
"There is only one problem with common sense; it’s not very common."
– Milt Bryce

Άβαταρ μέλους
Cha0s
SysAdmin
Δημοσιεύσεις: 10250
Εγγραφή: 28 Ιούλ 2001 03:00

Απενεργοποίηση ping requests από dnhost

Δημοσίευση από Cha0s » 25 Δεκ 2014 22:07

Τα ICMP δεν χρειάζονται απαραίτητα για το IPv4. Μπορούν να κοπούν χωρίς να αλλάξει κάτι στην παρεχόμενη υπηρεσία στον τελικό χρήστη (δεν θα καταλάβει κάτι δηλαδή).

Ωστόσο στο IPv6 τα ICMP πακέτα χρησιμοποιούνται για βασικές λειτουργίες του πρωτοκόλλου οπότε δεν βολεύει πολύ το κόψιμο τους.
http://blogs.cisco.com/security/icmp-an ... ty-in-ipv6

Από εκεί και πέρα, τα DDoS Attacks πλέον γίνονται συνήθως με DNS Amplification attacks ή με NTP Amplification attacks (UDP και τα 2). Είναι από τους πιο εύκολους τρόπους με ελάχιστο συγκριτικά bandwidth να κάνεις attacks αρκετών gigabit.

Τα ICMP DDoS attacks έχουν κοπεί εδώ και πολλά χρόνια (ή τουλάχιστον δεν έχω δει κανένα εγώ προσωπικά από τις αρχές του 2000 :P )
Ενδεικτικά το πλέον γνωστό ICMP attack ήταν το Smurf Attack.
Αλλά αυτό προϋποθέτει πως οι routers επιτρέπουν απέξω (κάτι που έχει σταματήσει να υποστηρίζεται από το '99) να τους κάνεις ping την broadcast address ενός εσωτερικού subnet με spoofed το source address με την διεύθυνση που θες να κάνεις attack. Έτσι όλοι οι υπόλοιποι servers στο ίδιο subnet βλέπουν το ping στην broadcast να έρχεται από το «θύμα» και στέλνουν τις απαντήσεις τους σε αυτόν αντί για τον attacker κάνοντας τον flood μέχρι που δεν έχει άλλο bandwidth να απαντήσει σε legit requests.
https://en.wikipedia.org/wiki/Smurf_attack
http://resources.infosecinstitute.com/icmp-attacks/

Προσωπικά θα ήμουν δυσαρεστημένος με μία τέτοια κίνηση από τον provider μου.
Δεν θέλω κανένα κόψιμο κανενός πακέτου από και προς τον/τους servers μου.

Δεν γνωρίζω το κόψιμο των ICMP να περιορίζει τίποτα αν κάποιος θέλει να κάνει DDoS.
Από την στιγμή που υπάρχουν ανοιχτά ports (τουλάχιστον το 80 στους περισσότερους servers) μπορείς να σκανάρεις ολόκληρο το δίκτυο κάποιου και ας κόβει τα ICMP (αν αυτός ήταν ο λόγος δηλαδή για το ICMP drop).
Kαι μάλιστα ταχύτατα! https://github.com/robertdavidgraham/masscan

Γενικά αυτά τα amplifications attacks δεν θα ήταν δυνατά αν όλοι οι providers υλοποιούσαν το BCP38 http://www.bcp38.info/index.php/Main_Page ώστε να μην φεύγουν spoofed πακέτα από τα δίκτυα τους (και κατ'επέκταση να χρησιμοποιηθούν αυτά για DDoS Attacks). Είναι πιο εύκολο για έναν provider να εφαρμόσει ACLs στην εξερχόμενη κίνηση του παρά να ψάξει να βρει και να πείσει όλους τους πελάτες του που έχουν λάθος ρυθμισμένους DNS (open resolvers) και NTP servers να τους διορθώσουν. Η λίστα με τους προβληματικούς τέτοιους servers αντί να μειώνεται αυξάνεται!

Πάντως ούτως ή άλλως τα μεγάλα DDoS attacks δεν σώνονται χωρίς πανάκριβο (κυριολεκτικά πανάκριβο) εξοπλισμό ή/και χωρίς αρκετό bandwidth στον/στους upstream να κάνουν null route το destination address του attack ώστε να απορροφήσουν την επίθεση πριν φτάσει στο rack/switch/server του πελάτη και γεμίσει το switch ή το port του server του. Η cloudflare έχει υποδομή που μπορεί να αντέξει εκατοντάδες gigabit attacks αλλά προφανώς εκεί ξεφεύγει το πράγμα άποψη υποδομής. Δεν έχουμε τέτοια πράγματα στην Ελλάδα :P
https://www.youtube.com/watch?v=w04ZAXftQ_Y

Με άλλα λόγια δεν ξέρω σε τι θα βοηθήσει το κόψιμο των ICMP, αλλά δεν γνωρίζω και ακριβώς την περίπτωση της dnhost οπότε δεν ξέρω αν είναι δικαιολογημένη αυτή η κίνηση.

Πάντως όπως είπα θα με ενοχλούσε να λάμβανα «κουτσουρεμένη» υπηρεσία. Να κοπεί προσωρινά λόγω επίθεσης το κατανοώ (όπως έκανε η Hetzner πέρσι σε τεράστιο DDoS attack στο port 53, όπου το έκοψε για όλο το DC προσωρινά)

Τέλος, μπορείς να ελέγξεις το latency με τον server σου κάνοντας UDP ή TCP pings πάνω σε κάποιο ανοιχτό port, πχ 80 ή 53. (από Linux, δεν ξέρω αν/πως γίνεται από windows)
http://linux.die.net/man/1/echoping

Αν μετράς το latency με smokeping μπορείς να ελέγξεις το RTT σε TCP/UDP port αντί για ICMP Pings.

Άβαταρ μέλους
Cha0s
SysAdmin
Δημοσιεύσεις: 10250
Εγγραφή: 28 Ιούλ 2001 03:00

Απενεργοποίηση ping requests από dnhost

Δημοσίευση από Cha0s » 25 Δεκ 2014 22:14

Τώρα είδα το link του Γιάννη για TCP Pings από Windows! Οπότε γίνεται και εκεί :)

Υπόψιν όταν μιλάμε για UDP DDoS attacks ότι firewall και να να υλοποιήσεις τα πακέτα περνάνε πρώτα από το φυσικό μέσο (ethernet) και έπειτα γίνονται drop από τον kernel/firewall.
Οπότε συνήθως (ανάλογα το μέγεθος του attack) πρώτα γεμίζει το φυσικό μέσο και αρχίζει το packet loss και έπειτα ο kernel προσπαθεί να τα κάνει drop.
Άρα είναι μία τρύπα στο νερό!

Μόνο ο upstream μπορεί να τα κόψει αυτά. Λύσεις τύπου routerboard (παρότι fan των συγκεκριμένων!) δεν κάνουν. Δεν έχουν την δύναμη ούτε έχουν features που θα βοηθήσουν να κόψεις DDoS Attacks (πέρα από πολύ βασικά πράγματα ενδεχομένως)

Άβαταρ μέλους
giannis17
Honorary Member
Δημοσιεύσεις: 1215
Εγγραφή: 06 Ιαν 2005 19:50
Τοποθεσία: Παγκράτι - Αθήνα
Επικοινωνία:

Απενεργοποίηση ping requests από dnhost

Δημοσίευση από giannis17 » 26 Δεκ 2014 03:11

Cha0s απλά επειδή μου αρέσει το θέμα να προσθέσω πως τα volume attacks κανένα datacenter από μόνο του δεν μπορεί να τα αποτρέψει ότι και εξοπλισμό να χρησιμοποιήσει. Όταν έχεις 1Gbit uplink στο subnet μόλις γεμίσει αυτό το κανάλι ξεκινάει το packet loss ότι και φιλτράρισμα να κάνεις εσωτερικά. Η λύση της cloudflare (και των υπολοίπων παρόμοιων υπηρεσιών) βασίζονται στο ότι έχουν τα δεδομένα/υπηρεσίες σκορπισμένα σε πολλούς host και υπάρχει δυναμικό routing από πίσω μέσω DNS. Η λογική είναι απλή αλλά η υποδομή που χρειάζεται από πίσω...άστο!

Όσον αφορά βέβαια τα protocol/application attacks αυτά μπορούν σχετικά εύκολα να αποφευχθούν και χωρίς να κόψεις μαχαίρι καμία υπηρεσία-πόρτα, ναι ακόμα και με routerboard απλά δεν θα βάλεις ένα για όλο το datacenter.
"There is only one problem with common sense; it’s not very common."
– Milt Bryce

Άβαταρ μέλους
Cha0s
SysAdmin
Δημοσιεύσεις: 10250
Εγγραφή: 28 Ιούλ 2001 03:00

Απενεργοποίηση ping requests από dnhost

Δημοσίευση από Cha0s » 27 Δεκ 2014 19:44

giannis17 έγραψε:Cha0s απλά επειδή μου αρέσει το θέμα να προσθέσω πως τα volume attacks κανένα datacenter από μόνο του δεν μπορεί να τα αποτρέψει ότι και εξοπλισμό να χρησιμοποιήσει. Όταν έχεις 1Gbit uplink στο subnet μόλις γεμίσει αυτό το κανάλι ξεκινάει το packet loss ότι και φιλτράρισμα να κάνεις εσωτερικά.
Αυτό εξήγησα πιο πάνω. Γιαυτό μίλησα για null route στον upstream.
«ώστε να απορροφήσουν την επίθεση πριν φτάσει στο rack/switch/server του πελάτη»
Έπρεπε να συμπληρώσω «datacenter/rack/switch/server» για να είμαι πιο σαφής :)
Η λύση της cloudflare (και των υπολοίπων παρόμοιων υπηρεσιών) βασίζονται στο ότι έχουν τα δεδομένα/υπηρεσίες σκορπισμένα σε πολλούς host και υπάρχει δυναμικό routing από πίσω μέσω DNS. Η λογική είναι απλή αλλά η υποδομή που χρειάζεται από πίσω...άστο!
Επίσης αυτό εννοούσα λέγοντας «Δεν έχουμε τέτοια πράγματα στην Ελλάδα» :)
Για την ιστορία ο τρόπος που παίζει η Cloudflare είναι με χρήση Anycast. Οπότε ανακοινώνει τις ίδιες IPs της από διάφορα datacenter σε όλο τον πλανήτη. Οπότε το BGP του ISP κάθε επισκέπτη θα επιλέξει αυτόματα το πιο κοντινό datacenter που ανακοινώνει τις IPs της μοιράζοντας έτσι την κίνηση σε πολλαπλά datacenter (και άρα σε πολλαπλά uplinks).
Προφανώς δεν υπάρχει ούτε η υποδομή ούτε το budget για κάτι τέτοιο στην Ελλάδα.
Εμείς εδώ ακόμα χρεώνουμε με το gigabyte το traffic όταν όλοι οι σοβαροί providers στην Ευρώπη δίνουν unlimited ή 20-30-40ΤΒ το μήνα! :hammer:
Όσον αφορά βέβαια τα protocol/application attacks αυτά μπορούν σχετικά εύκολα να αποφευχθούν και χωρίς να κόψεις μαχαίρι καμία υπηρεσία-πόρτα, ναι ακόμα και με routerboard απλά δεν θα βάλεις ένα για όλο το datacenter.
Layer 7 attacks ναι κόβονται σαφώς πιο εύκολα μιας και βασίζονται στο ότι θα σου ρίξουν το μηχάνημα λόγω έλλειψης resources να εξυπηρετήσουν άλλα request όχι στον όγκο των δεδομένων που θα σου γεμίσουν το uplink.

Μία ωραία ομιλία από Defcon όπου αναφέρουν best practices για το πως να κόψεις Layer 7 attacks https://www.youtube.com/watch?v=MD9NSyf_baw

Για Layer 7 έχει κάποια tools το Mikrotik αλλά προσωπικά δεν το εμπιστεύομαι για Production περιβάλλον. Για SOHO και WISPs είναι ότι πρέπει. Για enterprize καταστάσεις απέχει πολύ ακόμα από Juniper/Cisco για να βασίσεις την επιχείρηση σου σε αυτό. Και δεν είναι μόνο θέμα απόδοσης.
Επειδή το παρακολουθώ στενά το Mikrotik κοντά 10 χρόνια, έχει πάρα πολλά bugs και η Mikrotik δεν είναι καμιά μεγάλη εταιρία για να έχει το δυναμικό να διορθώσει κάθε τι. Πολλά bugs υπάρχουν από τότε που ξεκίνησα να το χρησιμοποιώ και ακόμα δεν έχουν λυθεί.
Το κακό είναι πως γίνονται συνέχεια introduce νέα bugs με κάθε νέα version.
Φτιάχνουν 1 χαλάνε 2 :P
Να είμαι ειλικρινής από την έκδοση 6.χ και μετά είμαι άκρως δυσαρεστημένος και ο μόνος λόγος που δεν έχω αλλάξει router OS είναι γιατί δεν υπάρχει κανένα άλλο με το ίδιο περιβάλλον διαχείρισης (winbox). Καλό το web interface αλλά δεν με βολεύει για την χρήση που κάνω.

Ωστόσο για να είμαστε και on topic, δεν νομίζω να έκοψαν τα ICMP λόγω layer 7 attack. Αυτά γίνονται συνήθως στοχευμένα όχι αδιάκριτα σε ότι μηχάνημα βρουν (εκτός αν πρόκειται για Joomla/WP/Drupal attacks - αλλά και πάλι δεν βοηθάει σε τίποτα το ICMP drop - με ένα απλό google search βρίσκεις άπειρα τέτοια CMS να κάνεις attack :P ).
Θεωρώ πως ο λόγος που κόβουν αρκετοί τα ICMP είναι για να περιορίσουν το scanning στο δίκτυο τους και όχι επιθέσεις από ICMP.
Αλλά όπως ανέφερα και στο προηγούμενο post, αν κάποιος θέλει να σε σκανάρει το ICMP δεν θα τον περιορίσει εκτός αν είναι κανένα skid που δεν ξέρει τίποτα άλλο από το ping :lol:

Απάντηση

Επιστροφή στο “Επικαιρότητα & Διάφορες Συζητήσεις”

Μέλη σε σύνδεση

Μέλη σε αυτήν τη Δ. Συζήτηση: Δεν υπάρχουν εγγεγραμμένα μέλη και 1 επισκέπτης